ايتنا - عدم آسیب پذیری برخی برنامه ها ی اندروید به دلیل خطای برنامه نویسی

رخی برنامه های كاربردی اندروید كه به نظر می رسید نسبت به مشكل HeartBleed آسیب پذیر باشند به دلیل یك خطای برنامه نویسی متداول در روش پیاده سازی كتابخانه OpenSSL محلی خودشان، از این آسیب پذیری مصون ماندند.

به گزارش ایتنا از مرکز ماهر، شركت FireEye، ۵۴۰۰۰ برنامه كاربردی اندروید كه دهم آوریل بر روی فروشگاه گوگل پلی قرار داشتند را به منظور یافتن آسیب پذیری HeartBleed مورد بررسی قرار داد.

این شركت امنیتی دریافت كه برخی بازی ها و برنامه های كاربردی تلفن همراه كه مبتنی بر آفیس هستند، نسبت به این مشكل آسیب پذیر می باشند زیرا این برنامه ها به جای استفاده از كتابخانه تعبیه شده در سیستم عامل اندروید از كتابخانه OpenSSL خودشان استفاده كرده اند. شركت گوگل اعلام كرد كه بسیاری از برنامه های اندروید از این مشكل در امان بودند.

حفره HeartBleed، یك آسیب پذیری سرریز بافر می باشد كه باعث افشای اعتبارنامه های ورودی كاربران و داده های حساس از قبیل كلید خصوصی برای گواهینامه های SSL می شود.

در نگاه اول، تعدادی از برنامه های آفیس اندروید آسیب پذیری به نظر می رسند اما محققان دریافتند كه یك خطای برنامه نویسی متداول نیز باعث شده است تا این برنامه ها تحت تاثیر این آسیب پذیر قرار نگیرند. بررسی های دقیق تر نشان می دهد كه این برنامه ها در بخشی از برنامه نویسی حاوی اشكال می باشند یا از كدهای قدیمی در آن ها استفاده شده است. بنابراین، هنگامی كه به توابع SSL نیاز است، به جای استفاده از كتابخانه آسیب پذیر موجود در برنامه، به طور مستقیم از كتابخانه OpenSSL بدون آسیب پذیری كه در سیستم عامل اندروید قرار دارد استفاده می كنند.